Laat een verzoek achter
Dit soort aanvallen is gericht op websites die de door gebruikers zijn ingevoerd gegevens weergeven. In plaats van te proberen toegang te krijgen tot de database door schadelijke code in te voeren, zijn aanvallers gericht op de code van de website zelf, waardoor schadelijke fragmenten in zijn structuur worden geïntroduceerd.
Veel websites slaan de namen van gebruikers in de database op om ze bij elke ingang van de site weer te geven. De aanvaller kan een nepaccount maken door de kwaadwillende code in de naam in te voeren. Een dergelijke code kan worden geïmplementeerd met behulp van JavaScript, die vervolgens kwaadaardige inhoud van een andere website laadt. De database zal de gebruikersnaam niet opslaan, maar de code die, wanneer ze op de site worden weergegeven, kan worden uitgevoerd, wat een ernstige bedreiging vormt voor de veiligheid van uw site in Yandex.
Ontwikkelaars negeren dit aspect van beveiliging vaak. Recente incidenten toonden aan dat veel populaire sites het slachtoffer werden van de XSS -aanvallen, waaronder grote bronnen zoals MySpace, Facebook, Google en anderen.
Overweeg het volgende voorbeeld van de PHP -code, die kwetsbaar kan zijn voor XSS:
$firstname = $_POST["firstname"]; echo "Your name: $firstname";
Na het invoeren van de naam op het webformulier geeft de site het bijbehorende bericht weer. Als u de naam "Chris" invoert, is het bericht als volgt: "Uw naam: Chris."
Als u echter de volgende code invoert in plaats van de naam: "”, zal dit leiden tot de implementatie van de kwaadaardige code.
De strijd tegen XSS -aanvallen vereist een zorgvuldige filtratie van alle ingevoerde en weergegeven gegevens, inclusief gegevens van GET- en postverzoeken, evenals uit de database. Het is noodzakelijk om alle velden die gebruikers kunnen wijzigen goed te verwerken om de introductie van kwaadaardige scripts te voorkomen.
In PHP kunnen verschillende pakketten, zoals codeigniter, worden gebruikt om te beschermen tegen XSS -aanvallen. Bovendien heeft PHP een ingebouwde functie specialcharsdie helpt om de uitvoergegevens te filteren, waardoor de uitvoering van kwaadaardige scripts op uw site in Yandex wordt uitgevoerd.
Om te beschermen tegen XSS -aanvallen, is het belangrijk om methoden voor gegevensfiltering te gebruiken op alle niveaus van interactie met de gebruiker. Dit is vooral belangrijk voor sites die persoonlijke gegevens of andere gevoelige informatie weergeven.
Als u de mechanismen van het beschermen van uw site van de XSS -aanvallen of u wilt vragen over de veiligheid van de site in Yandex meer wilt begrijpen. Experts helpen u de beste oplossingen voor gegevensbescherming te vinden. Contact via e -mail info@seo.computer of whatsapp op nummer +79202044461.
ID 98
